Sécuriser le personnel distant : déploiement de l’accès Zero Trust

ZTNA: Zero Trust Network Access

Déploiement de l’accès Zero Trust

La pandémie mondiale a contraint les travailleurs du savoir à quitter leurs bureaux en masse pour s’installer dans l’environnement isolé de leur foyer. La plupart retourneront au bureau à un moment ou à un autre, même si ce n’est qu’à temps partiel, à mesure que les entreprises s’adapteront aux mesures de distanciation sociale destinées à assurer la sécurité des employés. Global Workplace Analytics estime que 25 à 30 % du personnel travaillera à domicile plusieurs jours par semaine d’ici la fin de 2021. D’autres pourront ne jamais retourner dans un bureau officiel, choisissant de rester pour de bon des employés à domicile (WFH).

Devoir transformer tant de gens en télétravailleurs en si peu de temps a mis à l’épreuve la sécurité du réseau. Il n’y avait que peu, voire pas de temps, pour élaborer et exécuter une stratégie d’accès à distance sécurisé offrant le même niveau de protection dont bénéficient les travailleurs au bureau. Cela a fait naître une série de risques et de défis en matière de cybersécurité, ainsi qu’un besoin de véritables solutions d’accès Zero Trust, quel que soit l’endroit où les gens travaillent.

La sécurité est souvent le maillon faible de l’accès à distance

En avril 2020, alors que des millions de travailleurs commençaient à explorer les pratiques du travail à domicile, Cato a mené l’enquête « Préparation de l’entreprise à soutenir un travail généralisé de n’importe où » concernant la préparation de l’entreprise à la facilitation du travail à distance. En échantillonnant près de 700 organisations, Cato a constaté que près des deux tiers des répondants (62 %) ont vu le trafic d’accès à distance au moins doubler depuis le début, et que plus du quart (27 %) ont vu le trafic d’accès à distance tripler.

La façon dont les entreprises appliquent les politiques de sécurité à leurs effectifs distants est un problème critique. L’enquête a conclu que la plupart des répondants n’emploient pas au moins une mesure clé nécessaire à la sécurité de niveau entreprise :

  • Authentification multifacteur (MFA) pour valider l’identité de l’utilisateur,
  • Prévention d’intrusion pour identifier les attaques réseau, ou
  • Antimalware pour prévenir les menaces posées par le contenu malveillant.

Alors que la MFA est devenue la norme même parmi les consommateurs, plus d’un tiers (37 %) des répondants ne l’utilisent pas pour admettre des utilisateurs distants, s’appuyant plutôt sur l’authentification unique (SSO) ou un nom d’utilisateur et un mot de passe. En ce qui concerne la prévention des attaques, plus de la moitié des répondants (55 %) n’utilisent pas de prévention des intrusions ou d’anti-malware. Pire encore, 11 % d’entre eux n’inspectent pas complètement le trafic.

Utilisés par 64 % des répondants à l’enquête, les serveurs VPN sont la solution ponctuelle dominante pour permettre l’accès à distance. Bien que les VPN assurent le chiffrement du trafic et l’authentification des utilisateurs, ils représentent un risque pour la sécurité, car ils donnent accès à l’ensemble du réseau sans possibilité de contrôler l’accès granulaire des utilisateurs à des ressources spécifiques. Il n’y a pas de contrôle de la posture de sécurité de l’appareil qui se connecte, ce qui pourrait permettre aux logiciels malveillants d’entrer dans le réseau. De plus, des informations d’identification de VPN volées ont été impliquées dans plusieurs violations de données très médiatisées. En utilisant des informations d’identification légitimes et en se connectant via un VPN, les assaillants ont pu s’infiltrer et se mouvoir librement dans les réseaux d’entreprise ciblés.

Les VPN cèdent la place à la sécurité Zero Trust

Le secteur des technologies s’oriente vers un modèle d’accès utilisateur beaucoup plus sécurisé connu sous le nom de Zero Trust Network Access (ZTNA). On l’appelle aussi périmètre défini par logiciel (SDP). Le fonctionnement du ZTNA est simple : refuser à tout le monde et à tout appareil l’accès à une ressource sauf autorisation explicite. Cette approche permet de resserrer la sécurité réseau globale, et la microsegmentation, ce qui peut limiter le mouvement latéral en cas de violation. C’est le principe de base qui sous-tend les architectures ZTNA.

L’an dernier, le Market Guide for Zero Trust Network Access (ZTNA) de Gartner prévoyait que d’ici 2023, 60 % des entreprises élimineraient progressivement le VPN et utiliseraient le ZTNA à la place. Le principal avantage du ZTNA est son contrôle granulaire sur qui obtient et maintient l’accès au réseau, à quelles ressources spécifiques, et à partir de quel appareil d’utilisateur final. L’accès est accordé sur la base du moindre privilège conformément aux politiques de sécurité.

Ce contrôle de niveau granulaire est également la raison pour laquelle Zero Trust Network Access complète l’approche orientée identité de l’accès réseau qu’exige le SASE (Secure Access Service Edge). Avec l’intégration du ZTNA à une plateforme réseau cloud native, le SASE est capable de connecter les ressources des entreprises modernes — sites, applications cloud, centres de données cloud, et… oui, utilisateurs distants — avec exactement le bon degré d’accès.

L’intégration de la sécurité est essentielle pour appliquer efficacement les politiques de sécurité Zero Trust

Comme les VPN, les pare-feu et les solutions de prévention des intrusions, il existe des solutions ponctuelles pour le ZTNA sur le marché. En fait, de nombreux réseaux sont aujourd’hui configurés avec une gamme de solutions de sécurité et d’accès à distance autonomes. Ce manque d’intégration des produits est un réel inconvénient pour diverses raisons. Tout d’abord, il augmente la probabilité d’erreurs de configuration et de politiques de sécurité incohérentes. Deuxièmement, il augmente la latence du réseau, car le trafic doit être inspecté séparément par chaque appareil. Et enfin, le manque d’intégration rend la détection des menaces holistique presque impossible, car chaque appareil possède ses propres données dans son propre format. Même si ces données sont agrégées par un SIEM, c’est une tâche considérable que de normaliser les données et corréler les événements à temps pour stopper les menaces avant qu’elles puissent causer leurs dommages.

De plus, Zero Trust n’est qu’une partie d’une solution d’accès à distance. Certains problèmes de performance et de sécurité courants ne sont pas traités par les offres autonomes de ZTNA. C’est là que l’intégration complète du ZTNA dans une solution SASE est la plus bénéfique.

Le SASE fait converger le Zero Trust Network Access, NGFW et d’autres services de sécurité ainsi que des services réseau tels que le SD-WAN, l’optimisation WAN et l’agrégation de bande passante dans une plateforme cloud native. Cela veut dire que les entreprises qui tirent parti de l’architecture SASE bénéficient des avantages de Zero Trust Network Access ainsi que d’une suite complète de solutions de réseau et de sécurité convergentes, qui est à la fois simple à gérer et hautement évolutive. La solution Cato SASE fournit tout cela dans une plateforme cloud native.

La plateforme SASE de Cato simplifie l’accès distant sécurisé pour le travail à domicile

Qu’est-ce que cela signifie pour le télétravailleur ? La plateforme Cato SASE permet d’accorder plus vite et plus facilement un accès hautement sécurisé à chaque travailleur à distance.

Cato offre la flexibilité de choisir comment les utilisateurs distants et mobiles se connectent en toute sécurité aux ressources et applications. Cato Client est une application légère qui peut être configurée en quelques minutes et qui connecte automatiquement l’utilisateur distant au Cato Cloud. L’accès sans client autorise un accès optimisé et sécurisé à certaines applications via un navigateur. Les utilisateurs accèdent simplement à un portail d’applications — qui est disponible dans le monde entier depuis les 57 PoP de Cato — s’authentifient avec l’authentification unique configurée et sont instantanément présentés avec leurs applications approuvées. Les deux approches utilisent le ZTNA intégré pour sécuriser l’accès à des ressources réseau spécifiques.

Une approche de confiance zéro est essentielle pour sécuriser le personnel distant, et la solution de Cato permet une mise en œuvre facile et efficace du ZTNA.

Pour plus d’informations sur la prise en charge de votre personnel distant, obtenez gratuitement l’eBook de Cato intitulé « Work From Anywhere for Everyone ».

FAQ

  • Qu’est-ce que Zero Trust Network Access (ZTNA) ?

    Zero Trust Network Access est une approche moderne pour sécuriser l’accès aux applications et aux services. Le ZTNA refuse à tout le monde l’accès à une ressource sauf autorisation explicite. Cette approche permet de renforcer la sécurité du réseau et la microsegmentation, ce qui peut limiter le mouvement latéral en cas de violation.

  • En quoi le ZTNA est-il différent du périmètre défini par logiciel (SDP) ?

    Le SDP et le ZTNA sont aujourd’hui fonctionnellement identiques. Les deux décrivent une architecture qui refuse à tout le monde l’accès à une ressource sauf autorisation explicite.

  • Pourquoi ZTNA est-il important ?

    Le ZTNA est non seulement plus sécurisé que les solutions réseau traditionnelles, mais il est également conçu pour l’entreprise d’aujourd’hui. Les utilisateurs travaillent partout — pas seulement dans les bureaux — et les applications et les données migrent de plus en plus vers le cloud. Les solutions d’accès doivent être en mesure de refléter ces changements. Avec le ZTNA, l’accès à l’application peut s’ajuster dynamiquement en fonction de l’identité de l’utilisateur, de l’emplacement, du type d’appareil, etc.

  • Comment fonctionne le ZTNA ?

    ZTNA utilise des politiques d’accès granulaires au niveau de l’application définies sur le refus par défaut pour tous les utilisateurs et appareils. Un utilisateur se connecte et s’authentifie par rapport à un contrôleur Zero Trust, qui met en œuvre la politique de sécurité appropriée et vérifie les attributs de l’appareil. Une fois que l’utilisateur et l’appareil satisfont aux exigences spécifiées, l’accès est accordé à des applications et ressources réseau spécifiques en fonction de l’identité de l’utilisateur. Le statut de l’utilisateur et de l’appareil est continuellement vérifié pour maintenir l’accès.

  • En quoi le ZTNA est-il différent du VPN ?

    Le ZTNA utilise une approche d’authentification d’identité selon laquelle tous les utilisateurs et les appareils sont vérifiés et authentifiés avant d’être autorisés à accéder à tout actif basé sur le réseau. Les utilisateurs ne peuvent voir et accéder qu’aux ressources spécifiques qui leur sont autorisées par la politique.

    Un VPN est une connexion réseau privée basée sur un tunnel sécurisé virtuel entre l’utilisateur et un point terminal général dans le réseau. L’accès est basé sur les informations d’identification de l’utilisateur. Une fois que les utilisateurs se connectent au réseau, ils peuvent voir toutes les ressources sur le réseau avec seulement des mots de passe restreignant l’accès.

  • Comment puis-je mettre en œuvre le ZTNA ?

    Dans le ZTNA initié par le client, un agent installé sur un appareil autorisé envoie des informations sur le contexte de sécurité de cet appareil à un contrôleur. Le contrôleur invite l’utilisateur de l’appareil à s’authentifier. Une fois que l’utilisateur et l’appareil sont tous deux authentifiés, le contrôleur fournit une connectivité à partir de l’appareil, comme un pare-feu de nouvelle génération capable d’appliquer plusieurs politiques de sécurité. L’utilisateur ne peut accéder qu’aux applications explicitement autorisées.
    Dans le ZTNA initié par les services, un connecteur installé dans le même réseau que l’application établit et maintient une connexion sortante au cloud du fournisseur. L’utilisateur qui demande l’accès à l’application est authentifié par un service dans le cloud, qui est suivi d’une validation par un produit de gestion d’identité tel qu’un outil d’authentification unique. Le trafic applicatif transite par le cloud du fournisseur, ce qui offre une isolation contre l’accès direct et les attaques via un proxy. Aucun agent n’est requis sur l’appareil de l’utilisateur.

  • Le ZTNA remplacera-t-il le SASE ?

    Le ZTNA n’est qu’une petite partie du SASE. Une fois que les utilisateurs sont autorisés et connectés au réseau, les responsables informatiques doivent toujours se protéger contre les menaces liées au réseau. Les responsables informatiques ont encore besoin de l’infrastructure et des capacités d’optimisation adéquates pour protéger l’expérience utilisateur. De plus, ils doivent toujours gérer leur déploiement global.
    Le SASE répond à ces défis en regroupant le ZTNA avec une gamme complète de services de sécurité — NGFW, SWG, anti-malware et MDR — et avec des services réseau tels que SD-WAN, optimisation WAN et agrégation de base passante.

  • Quelles capacités de sécurité manque-t-il au ZTNA ?

    Le ZTNA répond au besoin d’un accès sécurisé au réseau et aux applications, mais il n’exécute pas de fonctions de sécurité telles que la vérification des logiciels malveillants, la détection et la correction des cybermenaces, la protection des appareils de navigation Web contre les infections et l’application des politiques de l’entreprise sur tout le trafic réseau. C’est pourquoi la gamme complète de services de sécurité du SASE est un complément au ZTNA.

  • Comment Zero Trust et SASE travaillent-ils ensemble ?

    Avec le SASE, la fonction de contrôleur ZT fait partie du PoP SASE et un connecteur séparé n’est pas nécessaire. Les appareils se connectent au PoP du SASE, sont validés et les utilisateurs n’ont accès qu’aux applications (et sites) autorisés par SASE Next-Generation Firewall (NGFW) et Secure Web Gateway (SWG).
    SASE répond à d’autres besoins de sécurité et de connectivité en regroupant ZTNA avec une gamme complète de services de sécurité — NGFW, SWG, anti-malware et MDR — et avec des services réseau tels que SD-WAN, optimisation WAN et agrégation de bande passante. Les entreprises qui tirent parti du SASE bénéficient des avantages du Zero Trust Network Access ainsi que d’une gamme complète de solutions de réseau et de sécurité, le tout convergé dans un package simple à gérer, optimisé et hautement évolutif.

FAQ

  • Qu’est-ce que Zero Trust Network Access (ZTNA) ?

    Zero Trust Network Access est une approche moderne pour sécuriser l’accès aux applications et aux services. Le ZTNA refuse à tout le monde l’accès à une ressource sauf autorisation explicite. Cette approche permet de renforcer la sécurité du réseau et la microsegmentation, ce qui peut limiter le mouvement latéral en cas de violation.

  • En quoi le ZTNA est-il différent du périmètre défini par logiciel (SDP) ?

    Le SDP et le ZTNA sont aujourd’hui fonctionnellement identiques. Les deux décrivent une architecture qui refuse à tout le monde l’accès à une ressource sauf autorisation explicite.

  • Pourquoi ZTNA est-il important ?

    Le ZTNA est non seulement plus sécurisé que les solutions réseau traditionnelles, mais il est également conçu pour l’entreprise d’aujourd’hui. Les utilisateurs travaillent partout — pas seulement dans les bureaux — et les applications et les données migrent de plus en plus vers le cloud. Les solutions d’accès doivent être en mesure de refléter ces changements. Avec le ZTNA, l’accès à l’application peut s’ajuster dynamiquement en fonction de l’identité de l’utilisateur, de l’emplacement, du type d’appareil, etc.

  • Comment fonctionne le ZTNA ?

    ZTNA utilise des politiques d’accès granulaires au niveau de l’application définies sur le refus par défaut pour tous les utilisateurs et appareils. Un utilisateur se connecte et s’authentifie par rapport à un contrôleur Zero Trust, qui met en œuvre la politique de sécurité appropriée et vérifie les attributs de l’appareil. Une fois que l’utilisateur et l’appareil satisfont aux exigences spécifiées, l’accès est accordé à des applications et ressources réseau spécifiques en fonction de l’identité de l’utilisateur. Le statut de l’utilisateur et de l’appareil est continuellement vérifié pour maintenir l’accès.

  • En quoi le ZTNA est-il différent du VPN ?

    Le ZTNA utilise une approche d’authentification d’identité selon laquelle tous les utilisateurs et les appareils sont vérifiés et authentifiés avant d’être autorisés à accéder à tout actif basé sur le réseau. Les utilisateurs ne peuvent voir et accéder qu’aux ressources spécifiques qui leur sont autorisées par la politique.

    Un VPN est une connexion réseau privée basée sur un tunnel sécurisé virtuel entre l’utilisateur et un point terminal général dans le réseau. L’accès est basé sur les informations d’identification de l’utilisateur. Une fois que les utilisateurs se connectent au réseau, ils peuvent voir toutes les ressources sur le réseau avec seulement des mots de passe restreignant l’accès.

  • Comment puis-je mettre en œuvre le ZTNA ?

    Dans le ZTNA initié par le client, un agent installé sur un appareil autorisé envoie des informations sur le contexte de sécurité de cet appareil à un contrôleur. Le contrôleur invite l’utilisateur de l’appareil à s’authentifier. Une fois que l’utilisateur et l’appareil sont tous deux authentifiés, le contrôleur fournit une connectivité à partir de l’appareil, comme un pare-feu de nouvelle génération capable d’appliquer plusieurs politiques de sécurité. L’utilisateur ne peut accéder qu’aux applications explicitement autorisées.
    Dans le ZTNA initié par les services, un connecteur installé dans le même réseau que l’application établit et maintient une connexion sortante au cloud du fournisseur. L’utilisateur qui demande l’accès à l’application est authentifié par un service dans le cloud, qui est suivi d’une validation par un produit de gestion d’identité tel qu’un outil d’authentification unique. Le trafic applicatif transite par le cloud du fournisseur, ce qui offre une isolation contre l’accès direct et les attaques via un proxy. Aucun agent n’est requis sur l’appareil de l’utilisateur.

  • Le ZTNA remplacera-t-il le SASE ?

    Le ZTNA n’est qu’une petite partie du SASE. Une fois que les utilisateurs sont autorisés et connectés au réseau, les responsables informatiques doivent toujours se protéger contre les menaces liées au réseau. Les responsables informatiques ont encore besoin de l’infrastructure et des capacités d’optimisation adéquates pour protéger l’expérience utilisateur. De plus, ils doivent toujours gérer leur déploiement global.
    Le SASE répond à ces défis en regroupant le ZTNA avec une gamme complète de services de sécurité — NGFW, SWG, anti-malware et MDR — et avec des services réseau tels que SD-WAN, optimisation WAN et agrégation de base passante.

  • Quelles capacités de sécurité manque-t-il au ZTNA ?

    Le ZTNA répond au besoin d’un accès sécurisé au réseau et aux applications, mais il n’exécute pas de fonctions de sécurité telles que la vérification des logiciels malveillants, la détection et la correction des cybermenaces, la protection des appareils de navigation Web contre les infections et l’application des politiques de l’entreprise sur tout le trafic réseau. C’est pourquoi la gamme complète de services de sécurité du SASE est un complément au ZTNA.

  • Comment Zero Trust et SASE travaillent-ils ensemble ?

    Avec le SASE, la fonction de contrôleur ZT fait partie du PoP SASE et un connecteur séparé n’est pas nécessaire. Les appareils se connectent au PoP du SASE, sont validés et les utilisateurs n’ont accès qu’aux applications (et sites) autorisés par SASE Next-Generation Firewall (NGFW) et Secure Web Gateway (SWG).
    SASE répond à d’autres besoins de sécurité et de connectivité en regroupant ZTNA avec une gamme complète de services de sécurité — NGFW, SWG, anti-malware et MDR — et avec des services réseau tels que SD-WAN, optimisation WAN et agrégation de bande passante. Les entreprises qui tirent parti du SASE bénéficient des avantages du Zero Trust Network Access ainsi que d’une gamme complète de solutions de réseau et de sécurité, le tout convergé dans un package simple à gérer, optimisé et hautement évolutif.